JP2013201621A - Port open/close control system - Google Patents
Port open/close control system Download PDFInfo
- Publication number
- JP2013201621A JP2013201621A JP2012068957A JP2012068957A JP2013201621A JP 2013201621 A JP2013201621 A JP 2013201621A JP 2012068957 A JP2012068957 A JP 2012068957A JP 2012068957 A JP2012068957 A JP 2012068957A JP 2013201621 A JP2013201621 A JP 2013201621A
- Authority
- JP
- Japan
- Prior art keywords
- port
- internet
- request
- gateway device
- home gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000004044 response Effects 0.000 claims abstract description 17
- 230000006870 function Effects 0.000 claims description 7
- 238000000034 method Methods 0.000 abstract description 10
- 238000004891 communication Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 5
- 230000001960 triggered effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
この発明は、エンドユーザの宅内LAN(Local Area Network)と外部ネットワークを繋ぐ宅内ゲートウェイ装置に対してエンドユーザがユーザ端末からインターネット経由でリモートアクセスするため、宅内ゲートウェイ装置のポート開閉を制御可能なポート開閉制御システムに関する。 The present invention provides a port capable of controlling port opening and closing of a home gateway device because the end user remotely accesses the home gateway device connecting the end user's home LAN (Local Area Network) and an external network from the user terminal via the Internet. The present invention relates to an open / close control system.
インターネットに接続されたエンドユーザのユーザ端末、例えば移動体端末、遠隔拠点のPCから宅内ゲートウェイ装置にリモートアクセスし、宅内LANに属したPC、AV機器等の各種ノードにアクセスすることが行われている。このようなリモートアクセスの実現には、ユーザ端末からのアクセス要求をインターネット経由で受け付ける宅内ゲートウェイ装置の待ち受けポートを、インターネットに対して開放する必要がある。このため、宅内ゲートウェイ装置の待ち受けポートへの不正アクセスを防止することが重要である。 Remote access to a home gateway device from a user terminal of an end user connected to the Internet, such as a mobile terminal or a remote base PC, and access to various nodes such as a PC and AV equipment belonging to the home LAN Yes. In order to realize such remote access, it is necessary to open a standby port of a home gateway device that receives an access request from a user terminal via the Internet to the Internet. For this reason, it is important to prevent unauthorized access to the standby port of the home gateway device.
一般的な不正アクセス防止対策として、ユーザ端末が保持する認証鍵を宅内ゲートウェイ装置に送信し、その装置側で認証することにより、宅内LANへの不正侵入を防止することが実施されている。 As a general countermeasure against unauthorized access, an authentication key held by a user terminal is transmitted to the in-home gateway device and authenticated by the device side to prevent unauthorized entry into the in-home LAN.
また、インターネットから隔離された閉域網によって宅内ゲートウェイ装置へポート開放要求を送信する特別な指令装置を備えるポート開閉制御システムが提案されている(特許文献1)。 In addition, a port opening / closing control system including a special command device that transmits a port opening request to a home gateway device through a closed network isolated from the Internet has been proposed (Patent Document 1).
しかしながら、上述の認証鍵のみの対策では、宅内ゲートウェイ装置のポートがインターネットに常時開放されているため、悪意の第三者から、ポートスキャンにより当該ポートが検出され、いわゆるDoS攻撃を用いた不正侵入を受ける恐れがある。 However, with the above-described countermeasure using only the authentication key, since the port of the home gateway device is always open to the Internet, the port is detected by a malicious third party by port scanning, and unauthorized intrusion using a so-called DoS attack is performed. There is a risk of receiving.
一方、上述の特別な指令装置を備えるポート開閉制御システムでは、ユーザ端末において指令装置のIPアドレスを知り、指令装置にログインするための一連の機能・操作が必要になり、ホスト名(FQDN)をユーザ端末で指定してアクセスを行うという、エンドユーザに馴染んだ通常のインターネット利用手順を適用することができない。 On the other hand, in the port opening / closing control system provided with the special command device described above, a series of functions / operations for logging in to the command device are required because the user terminal knows the IP address of the command device, and the host name (FQDN) It is not possible to apply the normal Internet usage procedure that is familiar to the end user, such as specifying and accessing the user terminal.
そこで、この発明が解決しようとする課題は、宅内ゲートウェイ装置のリモートアクセス用のポートをインターネットに対して不必要に開放することを避けつつ、通常のインターネット利用手順でユーザ端末から宅内ゲートウェイ装置へのリモートアクセスを実現することにある。 Therefore, the problem to be solved by the present invention is to avoid the unnecessary opening of the remote access port of the home gateway device to the Internet, and from the user terminal to the home gateway device by a normal Internet usage procedure. To realize remote access.
上記の課題を解決するため、この発明に係るポート開閉制御システムは、ユーザ端末からのアクセス要求をインターネット経由で受け付ける宅内ゲートウェイ装置と、インターネットから隔離された閉域網によって前記宅内ゲートウェイ装置へポート開放要求を送信する指令装置とを備える。指令装置は、DNS(Domain Name System)コンテンツサーバ部を有する。宅内ゲートウェイ装置は、ユーザ端末からのアクセス要求を受け付けるのに利用可能なポートをインターネットに対して閉じ、自己のホスト名及びインターネットで割り当てられているグローバルIPアドレスのDNS登録要求をDNSコンテンツサーバ部に送信する。指令装置は、DNS登録要求されたホスト名に対応付けて宅内ゲートウェイ装置の閉域網のアドレスを記憶し、インターネットからホスト名の名前解決要求を受信すると、当該ホスト名に対応付けて記憶する宅内ゲートウェイ装置の閉域網のアドレスへポート開放要求を送信し、当該名前解決要求に対するDNS応答において当該応答を中継保持するDNSサーバにおけるキャシュ時間TTL(Time To Live)を0秒に指定して返信する。宅内ゲートウェイ装置は、指令装置から閉域網経由でポート開放要求を受信すると、リモートアクセスに利用可能なポートをインターネットに対して開放し、当該開放したポートに確立された前記ユーザ端末からのアクセスが終了すると、当該開放したポートをインターネットに対して閉じる。 In order to solve the above-described problems, a port opening / closing control system according to the present invention includes a residential gateway device that accepts an access request from a user terminal via the Internet, and a port opening request to the residential gateway device by a closed network isolated from the Internet. And a commanding device for transmitting. The command device has a DNS (Domain Name System) content server unit. The in-home gateway device closes a port that can be used to accept an access request from a user terminal to the Internet, and sends a DNS registration request for its own host name and global IP address assigned to the Internet to the DNS content server unit. Send. The command device stores the address of the closed network of the home gateway device in association with the host name requested for DNS registration, and receives the host name name resolution request from the Internet, and stores it in association with the host name. A port opening request is transmitted to the address of the closed network of the apparatus, and a DNS time corresponding to the DNS server responding to the name resolution request is returned by specifying a cache time TTL (Time To Live) as 0 seconds. Upon receiving a port opening request from the command device via the closed network, the residential gateway device opens a port that can be used for remote access to the Internet, and the access from the user terminal established for the opened port is completed. Then, the opened port is closed with respect to the Internet.
この発明に係るポート開閉制御システムによれば、指令装置からポート開放要求を閉域網によって宅内ゲートウェイ装置に送信するまで、宅内ゲートウェイ装置のリモートアクセス用のポートをインターネットに対して閉じた状態に維持することができる。この維持中は、インターネット経由で宅内ゲートウェイ装置のリモートアクセス用のポートにアクセスすることができない。インターネットから隔離され、比較的に安全性に優れた閉域網経由で指令装置がポート開放要求を送信するので、宅内ゲートウェイ装置がインターネットに対して待ち受けポートを常時開放する必要がなく、悪意の第三者がインターネット経由でポート開放要求を宅内ゲートウェイ装置に送信することもできない。また、指令装置がDNSコンテンツサーバ部をもつため、エンドユーザが、ユーザ端末から宅内ゲートウェイ装置のホスト名を指定してアクセスする通常のインターネット利用手順を実行すれば、ユーザ端末のリゾルバが当該ホスト名の名前解決要求を送信し、この名前解決要求を受信した指令装置はDNSコンテンツサーバ部で応答可能である。ここで、この名前解決要求の指令装置への到達性は、指令装置が名前解決要求に対してDNSのTTL=0で応答するため、他のDNSキャッシュサーバによるキャッシュ利用の応答で遮断される心配がなく、確実である。指令装置は、DNS登録要求された宅内ゲートウェイ装置のインターネット上のグローバルIPアドレス、閉域網のアドレス及びホスト名の対応関係を知っているので、到達した名前解決要求からホスト名を特定し、エンドユーザの宅内ゲートウェイ装置に閉域網経由でポート開放要求を送信することができる。ユーザ端末は、リゾルバで取得したグローバルIPアドレスを用い、インターネット経由で宅内ゲートウェイ装置が開放したポートへの接続を確立し、宅内LANにリモートアクセスすることができる。宅内ゲートウェイ装置は、開放したポートで確立されたユーザ端末のアクセスが終了すると、そのポートを閉じ、インターネットに対して閉じた状態に戻す。したがって、宅内ゲートウェイ装置のリモートアクセス用のポートをインターネットに対して不必要に開放することが避けられる。 According to the port opening / closing control system according to the present invention, the remote access port of the home gateway device is kept closed with respect to the Internet until a port open request is transmitted from the command device to the home gateway device via the closed network. be able to. During this maintenance, the remote access port of the home gateway device cannot be accessed via the Internet. Since the command device transmits a port opening request via a closed network that is isolated from the Internet and has a relatively high level of safety, it is not necessary for the home gateway device to always open a standby port to the Internet. The user cannot send a port opening request to the home gateway device via the Internet. In addition, since the command device has a DNS content server unit, if the end user executes a normal Internet usage procedure in which the host name of the home gateway device is specified and accessed from the user terminal, the resolver of the user terminal The command device that transmits the name resolution request and can receive the name resolution request can respond at the DNS content server unit. Here, the reachability of the name resolution request to the command device is concerned that the command device responds to the name resolution request with DNS TTL = 0, so that it is blocked by a cache use response by another DNS cache server. There is no certainty. Since the command device knows the correspondence between the global IP address on the Internet of the gateway device for which DNS registration is requested, the address of the closed network, and the host name, it identifies the host name from the arrived name resolution request, and The port opening request can be transmitted to the home gateway device of the home via the closed network. Using the global IP address acquired by the resolver, the user terminal can establish a connection to the port opened by the home gateway device via the Internet and remotely access the home LAN. When the access of the user terminal established with the opened port is completed, the residential gateway device closes the port and returns it to the closed state with respect to the Internet. Therefore, it is possible to avoid opening the remote access port of the home gateway device unnecessarily to the Internet.
前記指令装置は、ポート番号を指定した前記ポート開放要求を送信し、前記ポート番号を前記名前解決要求に対する返信中に含め、前記宅内ゲートウェイ装置は、前記ポート開放要求から取得した前記ポート番号のポートを前記利用可能なポートとして開放し、前記名前解決要求を発信した前記ユーザ端末は、前記返信から取得した前記ポート番号へアクセス要求を送信し、前記指令装置は、指定する前記ポート番号を動的に変更することが好ましい。指令装置によって宅内ゲートウェイ装置が開放するポート番号を指定し、その指定を動的に変更するので、well-knownポートへの攻撃を受け難くすることができる。 The command device transmits the port opening request designating a port number, includes the port number in a reply to the name resolution request, and the home gateway device receives the port of the port number acquired from the port opening request. The user terminal that has transmitted the name resolution request transmits an access request to the port number acquired from the reply, and the command device dynamically sets the designated port number. It is preferable to change to. The port number opened by the in-home gateway device is designated by the command device, and the designation is dynamically changed, so that the well-known port is not easily attacked.
前記宅内ゲートウェイ装置が前記DNS登録要求を前記閉域網によって前記指令装置に送信することも好ましい。インターネットを経由せずにホスト名を指令装置のDNS対応テーブルに登録するので、インターネット経由でDNS登録要求を指令装置に送信する場合のようにDNS登録要求をインターネット上で第三者に盗み見される心配がない。したがって、ホスト名をエンドユーザが適切に秘密管理する限り、悪意の第三者が宅内ゲートウェイ装置を狙ってホスト名の名前解決を要求することが困難となる。 It is also preferable that the residential gateway device transmits the DNS registration request to the command device via the closed network. Since the host name is registered in the DNS correspondence table of the commanding device without going through the Internet, the DNS registration request is stolen by a third party on the Internet as in the case of sending the DNS registration request to the commanding device via the Internet. There is no worry. Therefore, as long as the end name is appropriately managed by the end user, it becomes difficult for a malicious third party to request the name resolution of the host name targeting the home gateway device.
前記DNSコンテンツサーバ部は、DDNS(Dynamic Updates in the Domain Name System)サーバとして機能することが好ましい。宅内ゲートウェイ装置のインターネットのグローバルIPアドレスが動的に割り当てられる場合でも、この発明に係るポート開閉制御システムを適用することができる。 The DNS content server unit preferably functions as a DNS (Dynamic Updates in the Domain Name System) server. Even when the global IP address of the Internet of the home gateway device is dynamically assigned, the port opening / closing control system according to the present invention can be applied.
上述のように、この発明は、インターネットに接続されたユーザ端末からのアクセス要求を受け付ける宅内ゲートウェイ装置と、インターネットから隔離された閉域網によって前記宅内ゲートウェイ装置へポート開放要求を送信する指令装置とを備えるポート開閉制御システムにおいて、前記指令装置は、DNSコンテンツサーバ部を有し、前記宅内ゲートウェイ装置は、前記アクセス要求の受け付けに利用可能なポートをインターネットに対して閉じ、自己のホスト名及びインターネットで割り当てられているグローバルIPアドレスのDNS登録要求を前記DNSコンテンツサーバ部に送信し、前記指令装置は、前記DNS登録要求のホスト名に対応付けて前記宅内ゲートウェイ装置の前記閉域網のアドレスを記憶し、インターネットから前記ホスト名の名前解決要求を受信すると、当該ホスト名に対応付けて記憶する前記宅内ゲートウェイ装置の閉域網のアドレスへ前記ポート開放要求を送信し、当該名前解決要求に対するDNS応答をTTL=0秒の指定で返信し、前記宅内ゲートウェイ装置は、前記ポート開放要求を受信すると、前記利用可能なポートをインターネットに対して開放し、当該開放したポートに確立された前記ユーザ端末からのアクセスが終了すると、当該開放したポートをインターネットに対して閉じる構成を採用することにより、宅内ゲートウェイ装置のポートをインターネットに対して不必要に開放することを避けつつ、通常のインターネット利用手順でユーザ端末から宅内ゲートウェイ装置へのリモートアクセスを実現することができる。 As described above, the present invention includes an in-home gateway device that receives an access request from a user terminal connected to the Internet, and a command device that transmits a port open request to the in-home gateway device by a closed network isolated from the Internet. In the port opening / closing control system provided, the command device has a DNS content server unit, and the in-home gateway device closes a port available for accepting the access request to the Internet, and uses its host name and the Internet. A DNS registration request for the assigned global IP address is transmitted to the DNS content server unit, and the command device stores the address of the closed network of the home gateway device in association with the host name of the DNS registration request. Or internet When the host name resolution request is received, the port release request is transmitted to the closed network address of the residential gateway device stored in association with the host name, and the DNS response to the name resolution request is TTL = 0 seconds. Upon receipt of the port opening request, the in-home gateway device opens the available port to the Internet, and the access from the user terminal established for the opened port is completed. By adopting a configuration in which the opened port is closed to the Internet, it is possible to avoid opening the port of the home gateway device unnecessarily to the Internet, and from the user terminal to the home gateway device in a normal Internet usage procedure Remote access to can be realized.
以下、この発明の一例としての実施形態を添付図面に基づいて説明する。図1に示すように、実施形態に係るポート開閉制御システムは、ユーザ端末1からのアクセス要求をインターネット2経由で受け付ける宅内ゲートウェイ装置3と、インターネット2から隔離された閉域網4によって宅内ゲートウェイ装置3へポート開放要求を送信する指令装置5とを備える。
Hereinafter, an embodiment as an example of the present invention will be described with reference to the accompanying drawings. As shown in FIG. 1, the port opening / closing control system according to the embodiment includes a
閉域網4は、ローカルIPアドレスによって網内のルーティングを行う、インターネット2に非公開されていないIP網になっている。閉域網4に属するノードへのローカルIPアドレスの付与は、閉域網4に設置されたDHCPサーバ等の適宜の手段によって一意に割り当てられる。以下、このローカルIPアドレスを閉域網IPアドレスと呼ぶ。閉域網4は、インターネット接続サービスを行うISP網との網間接続部で隔離されている。閉域網4として、例えば、本願出願人が国内において実施するNGN(Next Generation Network)を用いることができる。閉域網4、インターネット2のそれぞれは、宅内ゲートウェイ装置3のWAN側に接続される外部ネットワークとなる。宅内ゲートウェイ装置3のLAN側には、PC端末、AV機器等の各種の通信機器が宅内LANのノードとして接続される。
The closed
指令装置5、宅内ゲートウェイ装置3、ユーザ端末1の機能ブロックを図2(a)、(b)、(c)に示す。図示のように、指令装置5、宅内ゲートウェイ装置3、ユーザ端末1は、それぞれインターネット2に接続するための通信インターフェース51、31、11を有する。また、指令装置5、宅内ゲートウェイ装置3は、それぞれ閉域網4に接続するための通信インターフェース52、32を有する。宅内ゲートウェイ装置3が有する通信インタフェース31,32は仮想的な通信インタフェースであってよい。例えば、一つのEthernet物理インタフェースでWANに接続されており、その物理インタフェース上で、PPPoEでインターネット2に接続する仮想的な通信インタフェース31と、IPoEでNGNに接続される仮想的な通信インタフェース32を提供する形態であってよい。宅内ゲートウェイ装置3は、インターネット接続サービスを受けるため、自己のホスト名(FQDN)、及びグローバルIPアドレスをインターネット2上で一意に割り当てられている。以下、このグローバルIPアドレスを、インターネットIPアドレスと呼ぶ。
Functional blocks of the command device 5, the
宅内ゲートウェイ装置3は、WAN側で用いる通信プロトコルと、LAN側で用いる通信プロトコルを変換するゲートウェイ機能部33を有する。
The in-
指令装置5は、DNSコンテンツサーバ部53と、IPアドレス情報管理手段54とを有する。DNSコンテンツサーバ部53は、宅内ゲートウェイ装置3のホスト名及びインターネットIPアドレスについて、唯一のDNS登録要求先となり、かつインターネット2においては宅内ゲートウェイ装置3のホスト名に係る名前解決要求を唯一解決可能なDNSサーバとなっている。
The command device 5 includes a DNS content server unit 53 and IP address information management means 54. The DNS content server unit 53 is the only DNS registration request destination for the host name and Internet IP address of the in-
IPアドレス情報管理手段54は、図3に示すように、宅内ゲートウェイ装置3のホスト名61と、インターネットIPアドレス62と、閉域網IPアドレス63とを対応付けたテーブル6を記憶するデータベース部になっている。
As shown in FIG. 3, the IP address information management means 54 is a database unit that stores a table 6 in which the
図2に示すように、DNSコンテンツサーバ部53は、DDNSサーバとして機能する。宅内ゲートウェイ装置3は、閉域網4における指令装置5のIPアドレスが登録されたDNS登録手段34を有する。DNS登録手段34は、自己のホスト名及びインターネットIPアドレスのDNS登録要求を域網4によって指令装置5のDNSコンテンツサーバ部53に送信する。この送信は、インターネットIPアドレス、閉域網IPアドレスのいずれかが変更される都度、行うようになっている。
As shown in FIG. 2, the DNS content server unit 53 functions as a DDNS server. The in-
DNSコンテンツサーバ部53は、DNS登録要求から閉域網IPアドレス、ホスト名の対応付けを解析し、IPアドレス情報管理手段54に図3のテーブル6の更新を要求する。図2に示すDNSコンテンツサーバ部53は、DNS登録要求されたホスト名及びインターネットIPアドレスについて図3のテーブル6の更新をIPアドレス情報管理手段54に要求する。また、図2に示すDNSコンテンツサーバ部53は、インターネット2から受信した名前解決要求に係るホスト名に対応のインターネットIPアドレスを、IPアドレス情報管理手段54に問い合わせる。
The DNS content server unit 53 analyzes the association between the closed network IP address and the host name from the DNS registration request, and requests the IP address information management unit 54 to update the table 6 in FIG. The DNS content server unit 53 shown in FIG. 2 requests the IP address information management means 54 to update the table 6 of FIG. 3 for the host name and Internet IP address for which DNS registration is requested. Also, the DNS content server unit 53 shown in FIG. 2 inquires of the IP address information management means 54 about the Internet IP address corresponding to the host name related to the name resolution request received from the
DNSコンテンツサーバ部53は、受信した名前解決要求に対するDNS応答メッセージに、IPアドレス情報管理手段54から回答されたインターネットIPアドレスを含める。DNSコンテンツサーバ部53は、このDNS応答を中継保持するDNSサーバにおけるキャシュ時間:TTLを0秒に指定して返信する。このため、仮に、インターネット2に接続されたユーザ端末1と、DNSコンテンツサーバ部53との間に、DNSキャッシュサーバ7が介在することになっても、当該インターネットIPアドレスがDNSキャッシュサーバ7にキャッシュされることはない。したがって、ユーザ端末1からインターネット2経由でなされた宅内ゲートウェイ装置3のホスト名の名前解決要求は、毎回、DNSコンテンツサーバ部53に到達する。
The DNS content server unit 53 includes the Internet IP address returned from the IP address information management means 54 in the DNS response message for the received name resolution request. The DNS content server unit 53 replies specifying the cache time: TTL at 0 seconds in the DNS server that relays and holds this DNS response. Therefore, even if the DNS cache server 7 is interposed between the
指令装置5は、宅内ゲートウェイ装置3にポート開放要求を送信するポート制御情報通知手段55と、ポート開放要求で指定するためのポート番号を決定するポート番号決定手段56とを有する。DNSコンテンツサーバ部53は、インターネット2から宅内ゲートウェイ装置3のホスト名の名前解決要求を受信すると、ポート制御情報通知手段55に当該ホスト名を通知する。この通知を受けたポート制御情報通知手段55は、当該ホスト名に対応の閉域網IPアドレスをIPアドレス情報管理手段54に問い合わせ、ポート番号決定手段にポート番号を問い合わせる。この問い合わせを受けたポート番号決定手段56は、宅内ゲートウェイ装置3の利用可能なポートの中から、1つのポート番号を決定する。
The commanding device 5 includes a port control information notifying unit 55 that transmits a port opening request to the in-
ポート制御情報通知手段55は、IPアドレス情報管理手段54から回答された閉域網IPアドレスへ、ポート番号決定手段56から回答されたポート番号を指定したポート開放要求を送信し、当該ポート番号をDNSコンテンツサーバ部53に通知する。DNSコンテンツサーバ部53は、当該名前解決要求に対して、当該ポート番号を応答メッセージ中に含めて返信する。
The port control information notifying unit 55 transmits a port release request designating the port number returned from the port
ポート番号決定手段56は、決定するポート番号を動的に変更する。したがって、ポート開放要求で宅内ゲートウェイ装置3に指定するポート番号も同じく動的に変更される。動的な変更方法は、適宜に定めればよいが、例えば、ポート制御情報通知手段55からの問い合せの都度、ランダムに1つのポート番号を決定する方法を採用することができる。通信プロトコルで予約されているwell-knownポートはDoS攻撃を受け易いため、ポート番号決定手段56では、well-knownポートを避けたポート番号を決定することが好ましい。また、同一の宅内ゲートウェイ装置3で指定した履歴情報をポート番号決定手段56が記憶し、決定の都度、前回のポート番号と異なるポート番号を決定し、同一の宅内ゲートウェイ装置3において毎回同じポートをインタネット2に開放しないようにすることが好ましい。
The port number determination means 56 dynamically changes the determined port number. Therefore, the port number designated to the
宅内ゲートウェイ装置3は、ポート開閉制御手段35を有する。ポート開閉制御手段35は、通常、ユーザ端末1からのアクセス要求をインターネット2経由で受け付けるのに利用可能なポートをインターネット2に対して閉じた状態に維持する。他のサービスを利用するためにインターネット2にポート開放する等の積極的な理由がない場合、通常、宅内ゲートウェイ装置3の全ポートをインターネット2に対して閉じた状態に維持することが好ましい。
The in-
宅内ゲートウェイ装置3は、前記ポート開放要求をインターネット2用の通信インターフェース31で受信すると、ポート開閉制御手段35に送る。ポート開閉制御手段35は、利用可能なポートをインターネット2に対して開放する。この開放は、ポート開放要求から取得した前記ポート番号のポートを対象とする。ポート開閉制御手段35は、当該開放したポートに確立されたユーザ端末1からのインターネット2経由のリモートアクセスが終了すると、当該開放したポートをインターネット2に対して閉じる。
Upon receipt of the port opening request by the communication interface 31 for the
指令装置5から宅内ゲートウェイ装置3へのポート開放要求の送信には、UDP、TCPなどを用いるIPパケットベースのメッセージ通信方式を適宜に利用することができる。例えば、宅内ゲートウェイ装置3は、閉域網4側において所定のUDPポートを待ち受け用に開放する。この開放中、宅内ゲートウェイ装置3は、指令装置5から送信されるパケットのみを受け付けるようにすることで、閉域網4内における安全性を高めることができる。これは、閉域網4における指令装置5のIPアドレスが固定であり、宅内ゲートウェイ装置3にとって既知なので、指令装置5の固定IPアドレスからのポケットのみ許容するように宅内ゲートウェイ装置3のFW(ファイアウォール)部に設定することで実現可能である。また、ポート開放要求を確実に通達させるため、宅内ゲートウェイ装置3のポート開閉制御手段35は、ポート開放要求を受信すると、ACKを含むUDPパケットを指令装置5側へ返信し、指令装置5は、ACKを受信しない限り、所定のタイムアウトを待ってポート開放要求を再送するようにすることが好ましい。
For transmitting a port opening request from the commanding device 5 to the
DNSコンテンツサーバ部53がポート番号を応答メッセージ中に含める処理は、RFC1035で定義されているDNSメッセージフォーマットに沿うように行えばよい。具体的には、応答メッセージの回答部の中にTXT RDATA(文字列)の資源レコード(RR:Resource Record)を含め、“available port:5001”のようなテキストデータとしてポート番号を含めることができる。 The DNS content server unit 53 may include the port number in the response message so as to conform to the DNS message format defined in RFC1035. Specifically, a resource record (RR: Resource Record) of TXT RDATA (character string) can be included in the response part of the response message, and the port number can be included as text data such as “available port: 5001”. .
ユーザ端末1は、DNSコンテンツサーバ部53に対応するリゾルバ、宅内ゲートウェイ装置3のホスト名指定手段等、インターネット端末としての諸機能の他にも、宅内ゲートウェイ装置3にインターネットVPN接続するためのポート指定型のリモートアクセス手段12を有する。ユーザ端末1は、宅内ゲートウェイ装置3のホスト名の名前解決要求に対する返信を通信インターフェース11で受信すると、当該返信された応答メッセージをリモートアクセス手段12に送る。リモートアクセス手段12は、当該応答メッセージからポート番号を抽出する。リモートアクセス手段12は、インターネットVPNクライアントとして機能し、応答された宅内ゲートウェイ装置3のインターネットIPアドレスのポート番号へリモートアクセスの確立を要求する。宅内ゲートウェイ装置3とユーザ端末1間に確立したインターネットVPN接続は、エンドユーザの端末操作、タイムアウト等によって終了するようになっている。インターネットVPN接続には、IP−Sec、SSLといった適宜のプロトコルを採用することができる。
In addition to various functions as an Internet terminal, such as a resolver corresponding to the DNS content server unit 53, a host name specifying means of the
なお、ユーザ端末1、宅内ゲートウェイ装置3、指令装置5を構成している各機能部は、CPU等の演算処理装置やメモリ等の記憶装置を備えたコンピュータ上で実行されるプログラムによって実現されている。
Note that each functional unit constituting the
実施形態に係るポート開閉制御システムにおいて、宅内ゲートウェイ装置3のポートをインターネッ2に対して開閉するまでの動作フローを図4、図5に示す。前提とする初期状態は、図1に示す宅内ゲートウェイ装置3のホスト名、インターネッIPアドレス、閉域網IPアドレスが指令装置5側に登録済みであり、宅内ゲートウェイ装置3が全てのポートをインターネット2に対して閉じ、指令装置5に対し待ち受けポートを開放している状態である。先ず、ユーザ端末1が宅内ゲートウェイ装置3のホスト名の名前解決要求を送信する。この名前解決要求は、DNSキャッシュサーバ7から応答されることなく、指令装置5に到達する。図1、図4に示すように、指令装置5は、初期状態で名前解決要求を受信したか否かを監視しており、受信を確認すると(S1)、ポート番号を決定し(S2)、対応のホスト名の閉域網IPアドレスへ、ポート番号を指定したポート開放要求を送信し(S3)、対応のインターネットIPアドレスと共にポート番号を含めた応答メッセージを返信し、初期状態に復帰する(S4)。
In the port opening / closing control system according to the embodiment, an operation flow until the port of the
一方、図1、図5に示すように、宅内ゲートウェイ装置3は、初期状態でポート開放要求を受信したか否かを監視しており、受信を確認すると(S11)、ポート開放要求で指定されたポート番号のポートをインターネット2に対して開放する(S12)。その後、宅内ゲートウェイ装置3は、指令装置5からの返信を受けたユーザ端末1から当該開放中のポートへ送信されたVPN接続要求を受信すると、ユーザ端末1とのインターネットVPN接続を確立する(S13)。宅内ゲートウェイ装置3は、その接続の確立後、この接続が切断されたか否かの監視を開始し、切断を確認すると、当該開放中のポートをインターネット2に対して閉じ、初期状態に戻る(S14)。
On the other hand, as shown in FIG. 1 and FIG. 5, the in-
上述のように、実施形態に係るポート開閉制御システムは、閉域網4によって宅内ゲートウェイ装置3のDNS登録要求を指令装置5に送信するため、インターネット2上で宅内ゲートウェイ装置3のホスト名が第三者に漏洩する心配がなく、当該ホスト名をエンドユーザが秘密管理すれば、悪意の第三者が当該ホスト名の名前解決を要求することが困難となる。また、ユーザ端末1から宅内ゲートウェイ装置3へのリモートアクセスが必要なとき、ユーザ端末1から宅内ゲートウェイ装置3のホスト名を送信する通常のインターネット利用手順を実行するだけで、宅内ゲートウェイ装置3へリモートアクセスすることできる。また、宅内ゲートウェイ装置3のインターネット2側へのポート開放を、閉域網4からのポート開放要求受信をトリガとした開放後、確立したリモートアクセスの終了をトリガとしたポート閉塞までの間に制限するため、宅内ゲートウェイ装置3のインターネット2に対する不必要なポート開放を避けることもできる。また、宅内ゲートウェイ装置3に対する開放ポートをポート番号指定で動的に変更するため、well-knownポートへの攻撃を受け難くすることができる。
As described above, the port opening / closing control system according to the embodiment transmits the DNS registration request of the
なお、この発明の技術的範囲は、上述の実施形態に限定されず、特許請求の範囲の記載に基く技術的思想の範囲内での全ての変更を含むものである。例えば、ポート番号指定は必須でなく、IP−sec利用だと5000番ポートというように、ポート開放要求によって開放するポート番号を宅内ゲートウェイ装置3にデフォルトで設定し、ユーザ端末1がそのポート番号にアクセスするようにしておけば、指令装置5は単純なポート開放命令の要求を送り、DNS応答メッセージを標準的なものにすることができる。また、指令装置5は、一台のサーバ稼動コンピュータ上に構築する必要はなく、分散コンピューティングで構築し、DNS登録のホスト名と閉域網4のアドレスを対応付けが可能な相互通知手段を実装すればよい。
The technical scope of the present invention is not limited to the above-described embodiment, but includes all modifications within the scope of the technical idea based on the description of the claims. For example, port number designation is not indispensable, and when using IP-sec, a port number to be opened by a port opening request is set by default in the
1 ユーザ端末
2 インターネット
3 宅内ゲートウェイ装置
4 閉域網
5 指令装置
6 テーブル
11、31、32、51、52 通信インターフェース
12 リモートアクセス手段
34 DNS登録手段
35 ポート開閉制御手段
53 DNSコンテンツサーバ部
54 IPアドレス情報管理手段
55 ポート制御情報通知手段
56 ポート番号決定手段
61 ホスト名
62 インターネットIPアドレス
63 閉域網IPアドレス
DESCRIPTION OF
Claims (4)
インターネット(2)から隔離された閉域網(4)によって前記宅内ゲートウェイ装置(3)へポート開放要求を送信する指令装置(5)とを備えるポート開閉制御システムにおいて、
前記指令装置(5)は、DNSコンテンツサーバ部(53)を有し、
前記宅内ゲートウェイ装置(3)は、前記アクセス要求の受け付けに利用可能なポートをインターネット(2)に対して閉じ、自己のホスト名及びインターネットで割り当てられているグローバルIPアドレスのDNS登録要求をDNSコンテンツサーバ部(53)に送信し、
前記指令装置(5)は、前記DNS登録要求のホスト名に対応付けて前記宅内ゲートウェイ装置(3)の前記閉域網(4)のアドレスを記憶し、インターネット(2)から前記ホスト名の名前解決要求を受信すると、当該ホスト名に対応付けて記憶する前記宅内ゲートウェイ装置(3)の閉域網(4)のアドレスへ前記ポート開放要求を送信し、当該名前解決要求に対するDNS応答をTTL=0秒の指定で返信し、
前記宅内ゲートウェイ装置(3)は、前記ポート開放要求を受信すると、前記利用可能なポートをインターネット(2)に対して開放し、当該開放したポートに確立された前記ユーザ端末(1)からのアクセスが終了すると、当該開放したポートをインターネット(2)に対して閉じることを特徴とするポート開閉制御システム。 An in-home gateway device (3) for accepting an access request from the user terminal (1) via the Internet (2);
In a port opening / closing control system comprising a command device (5) for transmitting a port opening request to the in-home gateway device (3) by a closed network (4) isolated from the Internet (2),
The command device (5) has a DNS content server unit (53),
The in-home gateway device (3) closes a port that can be used to accept the access request to the Internet (2), and sends a DNS registration request for its own host name and global IP address assigned in the Internet to the DNS content Sent to the server part (53),
The command device (5) stores the address of the closed network (4) of the residential gateway device (3) in association with the host name of the DNS registration request, and resolves the host name from the Internet (2) When the request is received, the port open request is transmitted to the address of the closed network (4) of the home gateway device (3) stored in association with the host name, and a DNS response to the name resolution request is TTL = 0 seconds Reply with
Upon receipt of the port opening request, the residential gateway device (3) opens the available port to the Internet (2) and accesses from the user terminal (1) established at the opened port. The port opening / closing control system closes the opened port with respect to the Internet (2) upon completion of.
前記宅内ゲートウェイ装置(3)は、前記ポート開放要求から取得した前記ポート番号のポートを前記利用可能なポートとして開放し、
前記名前解決要求を発信した前記ユーザ端末(1)は、前記返信から取得した前記ポート番号へアクセス要求を送信し、
前記指令装置(5)は、指定する前記ポート番号を動的に変更する請求項1に記載のポート開閉制御システム。 The command device (5) transmits the port opening request designating a port number, includes the port number in a reply to the name resolution request,
The residential gateway device (3) opens the port of the port number acquired from the port opening request as the usable port,
The user terminal (1) that has transmitted the name resolution request transmits an access request to the port number acquired from the reply,
The port opening / closing control system according to claim 1, wherein the command device (5) dynamically changes the designated port number.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012068957A JP5764085B2 (en) | 2012-03-26 | 2012-03-26 | Port open / close control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012068957A JP5764085B2 (en) | 2012-03-26 | 2012-03-26 | Port open / close control system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013201621A true JP2013201621A (en) | 2013-10-03 |
JP5764085B2 JP5764085B2 (en) | 2015-08-12 |
Family
ID=49521498
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012068957A Active JP5764085B2 (en) | 2012-03-26 | 2012-03-26 | Port open / close control system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5764085B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017001342A1 (en) * | 2015-06-30 | 2017-01-05 | Fujitsu Technology Solutions Intellectual Property Gmbh | Method for unblocking external computer systems in a computer network infrastructure, distributed computing network with a computer network infrastructure of this type, and computer program product |
JP2017520180A (en) * | 2014-06-03 | 2017-07-20 | フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー | Method of communication between secure computer systems, computer network infrastructure and computer program product |
CN110365560A (en) * | 2019-07-15 | 2019-10-22 | 上海市共进通信技术有限公司 | The adaptive control method of serve port is realized in home gateway |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000341325A (en) * | 1999-05-26 | 2000-12-08 | Matsushita Electric Works Ltd | Method for accessing communication terminal with changing address by fixing name of host, dynamic ip dns system using this method and dns server used in this system |
JP2011150704A (en) * | 2011-02-09 | 2011-08-04 | Fujitsu Ltd | Connection support device |
JP2013201618A (en) * | 2012-03-26 | 2013-10-03 | Nippon Telegraph & Telephone West Corp | Information registration and acquisition system |
-
2012
- 2012-03-26 JP JP2012068957A patent/JP5764085B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000341325A (en) * | 1999-05-26 | 2000-12-08 | Matsushita Electric Works Ltd | Method for accessing communication terminal with changing address by fixing name of host, dynamic ip dns system using this method and dns server used in this system |
JP2011150704A (en) * | 2011-02-09 | 2011-08-04 | Fujitsu Ltd | Connection support device |
JP2013201618A (en) * | 2012-03-26 | 2013-10-03 | Nippon Telegraph & Telephone West Corp | Information registration and acquisition system |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017520180A (en) * | 2014-06-03 | 2017-07-20 | フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー | Method of communication between secure computer systems, computer network infrastructure and computer program product |
US10523633B2 (en) | 2014-06-03 | 2019-12-31 | Fujitsu Technology Solutions Intellectual Property Gmbh | Method of communicating between secured computer systems, a computer network infrastructure and a computer program product |
WO2017001342A1 (en) * | 2015-06-30 | 2017-01-05 | Fujitsu Technology Solutions Intellectual Property Gmbh | Method for unblocking external computer systems in a computer network infrastructure, distributed computing network with a computer network infrastructure of this type, and computer program product |
US10313305B2 (en) | 2015-06-30 | 2019-06-04 | Fujitsu Technology Solutions Intellectual Property Gmbh | Method of unblocking external computer systems in a computer network infrastructure, distributed computer network having such a computer network infrastructure as well as computer program product |
CN110365560A (en) * | 2019-07-15 | 2019-10-22 | 上海市共进通信技术有限公司 | The adaptive control method of serve port is realized in home gateway |
CN110365560B (en) * | 2019-07-15 | 2021-09-24 | 上海市共进通信技术有限公司 | Control method for realizing service port self-adaption in home gateway |
Also Published As
Publication number | Publication date |
---|---|
JP5764085B2 (en) | 2015-08-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2291979B1 (en) | Remote access between upnp devices | |
US9154378B2 (en) | Architecture for virtualized home IP service delivery | |
Cheshire et al. | Nat port mapping protocol (nat-pmp) | |
JP5318111B2 (en) | Various methods and apparatus for a central management station for automatically distributing configuration information to remote devices | |
JP4394701B2 (en) | Method and apparatus for concealing network topology | |
US11831607B2 (en) | Secure private traffic exchange in a unified network service | |
JP5864598B2 (en) | Method and system for providing service access to a user | |
JP4524906B2 (en) | Communication relay device, communication relay method, communication terminal device, and program storage medium | |
JP2008271242A (en) | Network monitor, program for monitoring network, and network monitor system | |
EP1489809A1 (en) | Network access system | |
US10951511B2 (en) | Method and device for providing an address by device to be managed of a network | |
JP5764085B2 (en) | Port open / close control system | |
JP2009010606A (en) | Tunnel connection system, tunnel control server, tunnel connecting device, and tunnel connection method | |
WO2015059128A1 (en) | A forwarder selection protocol for a network and a respective cpe device | |
JP2005311829A (en) | Communication path setting method, gateway device and communication system | |
JP3935823B2 (en) | HTTP session tunneling system, method thereof, and program thereof | |
JP5477056B2 (en) | Electronic device and electronic device operation setting method | |
JP2007189752A (en) | Communication method | |
Cheshire et al. | RFC 6886: Nat port mapping protocol (NAT-PMP) | |
KR20210131501A (en) | Method and system for host management | |
JP5784059B2 (en) | Communication control method, local device, information processing terminal, communication path establishment support device, and program | |
Perreault et al. | Port Control Protocol (PCP) Proxy Function | |
Perreault et al. | RFC 7648: Port Control Protocol (PCP) Proxy Function | |
Boucadair et al. | PCP Working Group G. Chen Internet-Draft China Mobile Intended status: Standards Track T. Reddy Expires: March 22, 2014 P. Patil Cisco | |
CA2531678A1 (en) | Method and system for facilitating client computer communications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140811 |
|
RD13 | Notification of appointment of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7433 Effective date: 20140811 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150515 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150526 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150612 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5764085 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |